Som enhver typisk autentiseringsprotokoll, er det å bruke PAM på å forstå en rekke konsepter. PAM -komponentene du bør internalisere og master inkluderer kontrollgrupper og kontrollflagg.
Spesielt har Linux Pam fire administrasjonsgrupper som hver bruker skal vite. De inkluderer:
For kontrollflagg vil du finne de nødvendige, nødvendige, tilstrekkelige og valgfrie kontrollflaggene. Som navnet antyder, kontrollerer kontrollflagg tilgangen til programmer basert på oppførselen til hver kontrollflaggtype.
Bortsett fra de to komponentene, er en annen betydelig PAM-komponent som du bør vurdere PAM-modulene-og det er dette denne artikkelen vil håndtere. Denne artikkelen vil definere de forskjellige PAM -modulene og vil gi levedyktige illustrasjoner eller eksempler.
Men før vi ser på modulene, la oss se på rekkefølgen på PAM -moduler.
Moduler bestill
Rekkefølgen på PAM -moduler er viktig, ettersom hver modul avhenger av den forrige rollen på bunken. Så en konfigurasjon som i følgende skjermbilde vil enkelt tillate deg å logge inn:
Bestillingen i følgende skjermbilde er imidlertid feil og vil ikke gi deg en tilgang:
Topp 10 grunnleggende PAM -moduler
Følgende Pam -innebygde moduler finnes i systemene dine, og du bør være kjent med hver av dem for riktig bruk av Linux Pam:
1. PAM_SUCEDED_IF -modulen
Denne modulen kontrollerer tilgangen til brukere og grupper. For eksempel kan du validere brukerkontoer ved å bruke denne kommandoen:
Det forrige eksemplet betyr at bare brukerne hvis ID -er er 1000 eller 3000 kan logge inn.
Et annet eksempel er som i følgende kommando:
Det forrige eksemplet spesifiserer at bare brukerne med bruker -ID -ene som er lik eller større enn 2000, kan få tilgang til tjenesten eller programmet.
Et eksempel på å bruke en inngruppeparameter er som sett i følgende:
2. pam_deny modul
Pam_deny -modulen brukes ofte for å nekte eller begrense en tilgang. Når den brukes, vil modulen returnere et ikke-OK-resultat ved behandling. Å bruke denne modulen på slutten av modulbunken din beskytter eventuell feilkonfigurasjon. Å bruke den i begynnelsen av en modulstabel vil imidlertid deaktivere tjenesten din, som sett i følgende figur:
Interessant nok kan du bruke denne modulen med Konto, Auth, Passord, og økt Ledelsesgrupper.
3. PAM_ACCESS -modul
PAM_ACCESS -modulen er en annen modul som du kan bruke med alle administrasjonsgruppene. Den fungerer på samme måte som PAM_SUCEDED_IF -modulen. PAM_SUCEDED_IF -modulen sjekker imidlertid ikke påloggingsdetaljene fra de nettverksvertene, mens PAM_ACCESS -modulen fokuserer på det.
Du kan deretter skrive tilgangsreglene som sett i følgende figurer:
Og
Reglene sier at bare brukerne innen Linhinttecks kan logge inn. + Og - tegnene i regelen tillater og nekter henholdsvis. Denne modulen er også brukbar med alle ledelsesgruppene.
4. pam_nologin -modul
Denne modulen er selektiv og lar bare roten logge inn hvis filen eksisterer. I motsetning til i de tidligere modulene, som du kan bruke med alle styringsgruppene, er denne modulen bare brukbar med Auth og regnskap Ledelsesgrupper.
5. PAM_Cracklib -modul
Cybercrime er på vei opp, og sterke passord er obligatoriske. Denne modulen angir reglene for hvor sterke passordene dine kan få. I det følgende eksempel gir modulen deg opptil 4 sjanser til å velge en sterk passordfeil som den vil avslutte. Igjen bestemmer modulen at du bare kan velge et passord på 12 eller flere tegn.
6. PAM_LOCALUSER MODUL
Denne modulen brukes ofte til å sjekke om en bruker er i /etc /passwd. Du kan bruke denne modulen med alle ledelsesgruppene inkludert Auth, passord, økt, og regnskap.
7. PAM_ROOTOK -modulen
Bare root -brukerne kan kjøre denne tjenesten siden den sjekker om uid er 0. Dermed kommer denne modulen godt med når en tjeneste bare er dedikert til rotbrukerne. Det er brukbart uten noen annen ledelsesgruppe bortsett fra Auth Management Group.
8. PAM_MYSQL -modul
Du kan bruke PAM_MYSQL -modulen for å validere brukerne i stedet for å sjekke legitimasjonen deres mot /etc /skyggen. Det er brukbart å validere brukerne med PAM_MYSQL -parametrene. Du kan installere den ved hjelp av følgende kommando hvis du ikke har den i systemet ditt. Dette er en annen modul som du kan bruke med alle ledelsesgruppene:
9. PAM_LIMITS MODUL
Hvis du trenger å sette grensene for systemressursene dine, er PAM_LIMITS -modulen det du trenger. Denne modulen påvirker alle, inkludert rotbrukere som bruker begrensningskonfigurasjonsfilen som er tilgjengelig i/etc/sikkerhet/grenser.d/ katalog. Det er gunstig å beskytte systemressursene og er bare brukbar i økt Management Group.
Grensene som er satt i/etc/sikkerhet/grenser.Conf -filen kan enten være hard eller myk. Bare root -brukerne kan endre grenseverdien i harde grenser, mens de vanlige brukerne ikke kan. På den annen side kan til og med vanlige brukere også endre grenseverdien.
Igjen kan grenser klassifiseres som CPU, FSIZE, DATA, NPROC og mange flere. Et godt eksempel vises i følgende figur:
Den første grensen for Linhintadmins -medlemmene setter antall prosesser for hvert medlem på 30. På den annen side er den andre grensen for Linhintechs -medlemmene og setter CPU -varigheten for dem på 4000 minutter.
10. PAM_RHOSTS -modulen
Den utfører standard nettverksgodkjenning for tjenester og programmer som ofte tradisjonelt er implementert i RSH og Rlogin, blant andre. De tre tilgjengelige alternativene inkluderer feilsøking, superbruker og stille. Det er bare brukbart med Auth Management Group og funksjoner i følgende eksempel:
Konklusjon
Det bringer oss til slutten av denne artikkelen. Forhåpentligvis vil de ti grunnleggende Linux Pam -modulene vise seg å være nyttige i reisen din for å lære og bruke PAM.